O problema está identificado como CVE-2018-8653, e permite que um atacante, se explorado com sucesso, execute código malicioso no computador infetado. Pode ser explorado em ataques web, onde o atacante consegue convencer a vítima a visitar um site malicioso. O problema pode também ser explorado através de aplicações que tenham o motor de scripting do Internet Explorer para renderizar conteúdo web (apps da suite do Office, por exemplo).

Por um lado, se o atacante conseguir explorar esta falha direcionada a um utilizador com baixos níveis de privilégio, a execução de código fica-se a esse nível. Por outro, para quem não tiver aplicado o Patch Tuesday para este mês, é bem provável que tenha uma falha que pode permitir ao atacante elevar os seus privilégios (particularmente relevante para os CVE-2018-8611, CVE-2018-8589, CVE-2018-8453, CVE-2018-8440).

Mesmo que o atacante tenha inicialmente baixos privilégios, é ainda assim possível deixar um malware no computador da vítima.

Em termos de workaround, com esta atualização, a Microsoft restringiu também o acesso ao motor de scripting do Internet Explorer até que os administradores de sistemas conseguissem aplicar o patch oficial.

Para os utilizadores do Edge, fiquem descansados, não estão afetados.

Mais informações aqui no advisory oficial: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653